HP、「LaserJet」プリンタの脆弱性に対処するファームウェアアップデートを公開

　Hewlett-Packard（HP）は米国時間12月23日、「LaserJet」プリンタに対する「ある種の不正アクセス」を防止するための策を講じたことを明らかにした。

　HPの声明の全文を以下の通り。

　HPは問題を緩和するファームウェアアップデートを作成し、顧客およびパートナーに積極的に通知している。今のところ、顧客から不正アクセスに関する報告は受けていない。プリンタをファイアウォールの内側に配置すること、そして外部に公開されているプリンタへのファームウェアのリモートアップロードを可能な限り回避することで機器を保護して欲しい。このベストプラクティスに従うよう、繰り返しお願いしたい。

　HPは、この問題は過大な反応を招いているものの、顧客から不正アクセスの報告は受けていないと述べている。同社は2011年11月末に「一部のHP LaserJetプリンタに潜在するセキュリティ脆弱性に関し、扇動的で不正確な報道がされている」と述べていた。

　同社は当時、次のように問題の性質を説明し、問題に対処するファームウェアアップデートを提供すると約束した。

　一部のHP LaserJet機器は、ファイアウォールのないパブリックインターネットに配置された場合に問題となる脆弱性をはらんでいる。プライベートネットワークでは、ネットワーク上で信頼されている者によるファームウェアを変更しようとする悪質な試みがあった場合に、一部のプリンタで問題となる。一部のLinuxまたはMac環境においては、巧みに仕組まれた悪質な印刷ジョブによって、ファームウェアアップグレードを引き起こすことが可能な場合がある。

　またHPは当時、ファームウェアアップデートまたは「指摘されている脆弱性」によって問題のLaserJetが攻撃を受ける恐れがあるとする「憶測」を非難した。

　このような主張にもかかわらず、HPは12月上旬、指摘された脆弱性を認識しながらこれらのプリンタを販売したとして提訴された。訴訟では、ソフトウェアアップグレードやダウンロードされた変更の信頼性を確認するためのデジタル署名を使用することなく、インターネットを介したアップデートを可能としているとして、プリンタ上のソフトウェアが非難の的になっている。